ISMS ISO 27001 und 27002 Schwachstellenkatalog

In welchen Bereichen können Schwachstellen bestehen?

Die folgende Aufzählung enthält Beispiele für Schwachstellen aus verschiedenen ISMS ISO 27001 Sicherheitsbereichen einschließlich Beispielen von möglichen Bedrohungen, die diese Schwachstellen ausnutzen könnten. Nutzen Sie diese Informationen direkt zur Einschätzung von Schwachstellen als nützliches Hilfsmittel. Es ist zu betonen, dass in manchen Fällen andere Bedrohungen ebenfalls diese Schwachstellen ausnutzen können.
ISMS ISO 27001 Schwachstellen in der Umgebung und Infrastruktur:

Unzureichender Schutz von Gebäuden, Türen und Fenstern (Gefahr z.B. durch Diebstahl)
Unzureichende Zugangskontrollen zu Gebäuden und Räumen bzw. Missachtung der Vorkehrungen (Gefahr z.B. durch mutwillige Beschädigungen)
Instabiles Stromnetz (Gefahr z.B. von Strom Schwankungen)
Standort liegt in einem überflutungsgefährdeten Bereich (Gefahr z.B. von Überflutung)

GRATIS VORLAGE: Mit dieser gratis Vorlage Verfahrensanweisung Risikomanagement ISO 27001  bauen Sie ein dokumentiertes ISMS- Managementsystem auf.

ISMS ISO 27001 Schwachstellen bei Hardware und Software

• Empfindlichkeit gegenüber Spannungsschwankungen (Gefahr z.B. von Strom Schwankungen)
• Empfindlichkeit gegenüber Wärmeschwankungen (Gefahr z.B. bei Temperaturextremen)
• Empfindlichkeit gegenüber Feuchtigkeit, Staub und Schmutz (Gefahr z.B. Bauarbeiten)
• Empfindlichkeit gegenüber elektromagnetische Strahlungen (Gefahr z.B. durch elektromagnetische Strahlung)
Unzureichende Dokumentation der Hardwarekonfiguration (Gefahr von Bedienungsfehlern)

• Unklare oder unvollständige Spezifikationen für Softwareentwickler (Gefahr z.B. von Softwareausfall)
• Nicht bzw. unzureichend getestete Software (Gefahr z.B. der Softwarenutzung durch unberechtigte Benutzer)
Komplizierte Benutzeroberfläche (Gefahr z.B. durch Bedienungsfehler)
Unzureichende Identifikations- und Authentifizierungsmechanismen, z.B. Benutzer-Authentifizierung (Gefahr z.B. durch Verschleierung der Benutzeridentität)

Mangelnde Protokollierung (Gefahr z.B. von Software Missbrauch)
Bekannte Softwarefehler (Sicherheitslücken) (Gefahr z.B. der Softwarenutzung von unberechtigten Benutzern)
Ungeschützte Passworttabellen (Gefahr z.B. durch Missbrauch der Benutzeridentität)
Unzureichendes Passwort Management (Passwörter sind leicht erratbar, in Klartext abgespeichert, werden unzureichend gewechselt) (Gefahr z.B. durch Missbrauch der Benutzeridentität)

Falsche Vergabe von Zugriffsrechten (Gefahr z.B. von Software Missbrauch)
Unkontrollierter Download und Verwendung von Software (Gefahr z.B. durch Schadsoftware)
Kein “Logout” beim Verlassen des Arbeitsplatzes (Gefahr z.B. der Softwarenutzung von unberechtigten Usern)
Fehlende Dokumentation von Änderungen (Gefahr z.B. von Softwareversagen)
Unzureichende Dokumentation (Gefahr z.B. von Bedienungsfehlern)
Fehlende Backup-Kopien (Gefahr z.B. durch Schadsoftware oder Feuer)

• Entsorgung bzw. Wiederverwendung von Datenträgern ohne sicheres Löschen (Gefahr z.B. von Software Missbrauch durch unberechtigte Benutzer)

AUSBILDUNG: Mit der Ausbildung Basiswissen Informationssicherheitsmanagement ISO 27001 lernen Sie die ISO 27001 von Grund auf kennen und anzuwenden.

Zum Seitenanfang

ISMS ISO 27001 Schwachstellen in der Kommunikation und bei Dokumenten

Ungeschützte Kommunikationsverbindungen (Gefahr z.B. das Nachrichten abgehört werden)
Mangelhafte Kabelleitungen (Gefahr z.B. der Manipulation des Nachrichtenverkehrs)
Fehlende Identifikation und Authentisierung von Sender und Empfänger (Gefahr z.B. durch Verschleierung der Benutzeridentität)

Übertragung von Passwörtern in Klartext (Gefahr z.B. von Netzwerkzugang durch unberechtigte Benutzer)
Mangelnde Nachweisbarkeit des Absendens bzw. Erhalts einer Nachricht (Gefahr z.B. der Abstreitbarkeit)
Einwahlverbindungen (Gefahr z.B. von Netzwerkzugang durch unberechtigte Benutzer)
Ungeschützter sensibler Datenverkehr (Gefahr z.B. das Nachrichten abgehört werden)
Unzureichendes Netzwerkmanagement (ausfallanfälliges Routing) (Gefahr z.B. der Netzwerküberlastung)
Ungeschützte öffentliche Netzwerkverbindungen (Gefahr der Softwarenutzung durch unberechtigte Benutzer)

Ungeschützte Aufbewahrung (Gefahr z.B. durch Diebstahl)
Leichtsinnige Entsorgung (Gefahr z.B. durch Diebstahl)
Unkontrollierte Vervielfältigung (Gefahr z.B. durch Diebstahl)

AUSBILDUNG: Mit der Ausbildung ISMS Beauftragter – ISO/IEC 27001 – Informationssicherheitsmanagement betreuen Sie Ihr ISMS erfolgreich.

Zum Seitenanfang

ISMS ISO 27001 Schwachstellen beim Personal

Unbeaufsichtigte Tätigkeiten von Externen oder Reinigungspersonal (Gefahr z.B. durch Diebstahl und Spionage)
Unzureichende Schulung hinsichtlich Sicherheitsbestimmungen (Gefahr z.B. von Mitarbeiterfehlern)
Mangelndes Sicherheitsbewusstsein (Gefahr z.B. von Mitarbeiterfehlern)
Unsachgemäße Verwendung von Software und Hardware (Gefahr z.B. von Bedienungsfehlern)
Mangelnde Überwachungsmechanismen (Gefahr z.B. von Software Missbrauch)
Fehlen von Standards zur richtigen Verwendung von Telekommunikationsmedien und Datenübertragung (Gefahr z.B. der unbefugten Nutzung des Netzwerkes)

Übergreifende ISMS Schwachstellen

Kritische Fehlerstellen (engl.: Single point of failure) (Gefahr z.B. durch Ausfall der Kommunikationsdienstleistungen)
Unzureichende Wartung (Gefahr z.B. von Hardware Ausfällen)